FFUF 项目使用教程

最新推荐文章于 2024-08-10 07:02:13 发布
最新推荐文章于 2024-08-10 07:02:13 发布
阅读量459 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00124/article/details/141075320
版权

FFUF 项目使用教程

ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf

1. 项目的目录结构及介绍

FFUF(Fuzz Faster U Fool)是一个用Go语言编写的快速Web模糊测试工具。项目的目录结构如下:

ffuf/
├── cmd/
│   └── ffuf/
│       └── main.go
├── config/
│   └── config.go
├── pkg/
│   ├── core/
│   ├── input/
│   ├── output/
│   ├── request/
│   ├── runner/
│   └── utils/
├── .gitignore
├── Dockerfile
├── go.mod
├── go.sum
├── LICENSE
├── Makefile
├── README.md
└── ffufrc.example

目录介绍:

  • cmd/: 包含项目的主命令行接口代码。
  • config/: 包含配置文件相关的代码。
  • pkg/: 包含项目的核心功能代码,如核心逻辑、输入处理、输出处理、请求处理、运行器和工具函数等。
  • .gitignore: Git忽略文件。
  • Dockerfile: Docker构建文件。
  • go.modgo.sum: Go模块依赖管理文件。
  • LICENSE: 项目许可证。
  • Makefile: 构建和测试脚本。
  • README.md: 项目说明文档。
  • ffufrc.example: 配置文件示例。

2. 项目的启动文件介绍

FFUF的启动文件位于cmd/ffuf/main.go。这个文件是整个项目的入口点,负责初始化并启动FFUF工具。

package main

import (
    "github.com/ffuf/ffuf/pkg/core"
    "github.com/ffuf/ffuf/pkg/input"
    "github.com/ffuf/ffuf/pkg/output"
    "github.com/ffuf/ffuf/pkg/request"
    "github.com/ffuf/ffuf/pkg/runner"
    "github.com/ffuf/ffuf/pkg/utils"
    "github.com/ffuf/ffuf/config"
)

func main() {
    // 初始化配置
    config.Init()
    
    // 创建核心对象
    core := core.NewCore()
    
    // 设置输入源
    input := input.NewInput()
    
    // 设置输出处理
    output := output.NewOutput()
    
    // 设置请求处理
    request := request.NewRequest()
    
    // 设置运行器
    runner := runner.NewRunner()
    
    // 启动核心逻辑
    core.Run(input, output, request, runner)
}

3. 项目的配置文件介绍

FFUF的配置文件是一个名为ffufrc的文件,默认路径为$XDG_CONFIG_HOME/ffuf/ffufrc。如果该文件不存在,可以使用项目提供的示例文件ffufrc.example作为参考。

配置文件示例:

# FFUF配置文件示例

# HTTP方法
http_method = "GET"

# 请求头
headers = [
    "User-Agent: FFUF",
    "Accept: */*"
]

# 请求超时时间
timeout = 10

# 并发数
concurrency = 40

# 输出文件
output_file = "results.txt"

# 匹配条件
match_conditions = [
    "status_code = 200",
    "size = 1234"
]

# 过滤条件
filter_conditions = [
    "status_code = 404",
    "size = 0"
]

配置文件说明:

  • http_method: 指定HTTP请求方法,如GET、POST等。
  • headers: 设置请求头信息。
  • timeout: 设置请求超时时间(秒)。
  • concurrency: 设置并发数。
  • output_file: 指定输出结果文件。
  • match_conditions: 设置匹配条件,如状态码、响应大小等。
  • filter_conditions: 设置过滤条件,如状态码、响应大小等。

通过配置文件,用户可以灵活地调整FFUF的行为,以适应不同的测试需求。

ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf

时昕海Minerva
关注
【网络安全 | 渗透工具-目录FUZZ】ffuf安装使用详细教程
等风来
09-09 658
ffuf 允许使用多个 wordlists,每个 wordlist 可以指定一个自定义关键词。具体的工作模式取决于我们的命令。在这个功能下,我们需要为每个 wordlist 指定一个不同的关键词,并在 URL 中使用这些关键词。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1295
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Go-ffuf-用Go写的快速网络模糊器
08-13
允许模糊HTTP标头值,POST数据和URL的不同部分,包括GET参数名称和值
Ffuf使用教程
热门推荐
weujie
09-25 1万+
/'___\ /'___\ /'___\ /\ \__/ /\ \__/ __ __ /\ \__/ \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\ \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/ \ \_\ \ \_\ \ \____/ \ \_\ \/_/ \/_/ \/___/ \/_/ 该工具用途广泛,可用于多种用途。一些用途: • 目录发现,可选择在 URL 中的.
FFUF 使用教程
最新发布
gitblog_00194的博客
08-10 504
FFUF 使用教程 ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf 项目介绍 FFUF(Fuzz Faster U Fool)是一个用Go语言编写的快速Web模糊测试工具。它主要用于安全测试,可以帮助渗透测试人员、道德黑客和取证专家进行目录发现、虚拟主机发现(无需DNS记录)以及GET和PO...
ffuf命令使用手册
weixin_70099234的博客
03-09 353
d 参数指定我们要发送的数据(如:用户名、电子邮件、密码和 cpassword)-w 参数选择计算机上包含我们要检查的用户名列表是否存在的文件的位置。-X 指定请求方法,默认情况下这是一个 GET 请求。-mr 参数是我们要查找的页面上的文本,以。-u 参数指定我们发出请求的 URL。-H 参数用于向请求添加附加标头。
ffuf的安装与使用
qq_43717836的博客
07-11 1373
在重新做回渗透后,还是第一次做资产收集,用了ffuf,顺便就有了这篇文章。
burp-copy-as-ffuf:Burp扩展程序,用于复制请求并构建FFUF框架
05-09
复制请求并使用Burp代理进行验证Copy as FFUF skeleton, verify via Burp" 复制请求并使用Burp代理进行攻击Copy as FFUF skeleton, proxy via Burp" 也许添加一个简单的用户界面,允许配置单词列表的路径 要求 ...
ffuf:用Go编写的快速网络模糊器
02-02
/'___\ /'___\ /'___\ /\ \__/ /\ \__/ __ __ /\ \__/ ...下面的用法示例仅显示您可以使用ffuf完成的最简单的任务。 有关更详尽的文档,包括现实生活中的使用示例和提示,请务必查看出色的指南:Michael Skel
使用ffuf对子域枚举和虚拟主机枚举
04-10
下面是对使用ffuf进行子域枚举和虚拟主机枚举的介绍: 1. 子域枚举: - 使用ffuf进行子域枚举时,可以通过指定字典文件来进行爆破,字典文件中包含了可能存在的子域名。 - 命令示例:`ffuf -w subdomains.txt -u ...
ffuf-scripts:脚本以帮助完成不同的ffuf任务和工作流程
03-22
ffuf有效内容的脚本和代码片段 一组脚本,这些脚本使可以使用不同种类的有效负载。 ffuf_basicauth.sh-HTTP基本身份验证 一个脚本,该脚本在提供的单词列表中生成base64编码的username:password值组合。遍历所有可能的组合。 用法示例 在测试每个HTTP基本身份验证用户名:密码组合,并过滤掉403-禁止响应。 ./ffuf_basicauth.sh usernames.txt passwords.txt |ffuf -w -:AUTH -u https://example.org/endpoint -H "Authorization: Basic AUTH" -fc 403 -c 贡献 我们欢迎任何和所有的贡献。请参阅ffuf_basicauth.sh了解首选脚本头格式,以获取用法示例和作者信息。
ffuf工具(模糊爆破、目录爆破、子域名爆破、联动bp)
墨痕诉清风的博客
08-30 1825
目录模糊爆破子域名模糊爆破HTTP 方法模糊测试-u url地址-w 设置字典-c 将响应状态码用颜色区分,windows下无法实现该效果。-t 线程率,默认40-p 请求延时: 0.1、0.2s-ac 自动校准fuzz结果-H Header头,格式为 “Name: Value”-r 跟随重定向-recursion num 递归扫描。.........
快速上手FFUF:一款高效的网络模糊测试js文件爆破工具
2301_80064376的博客
07-17 1437
借助FFUF,你可以快速高效地进行网络模糊测试,发现潜在的安全漏洞。不仅是一款功能强大的工具,适用于目录发现、子域名发现、以及HTTP方法模糊测试,还是一款js爆破工具。本文将引导你快速掌握FFUF的使用方法,不需要复杂的背景知识,适合基础小白学习。它可以帮助你在短时间内发现网站的隐藏目录、文件和子域名,从而找到潜在的安全漏洞。:仅输出状态码为200和301的响应结果,有助于精确发现有效目录。:通过代理进行扫描,可以隐藏真实IP地址,提高安全性。:递归扫描可以深入每个目录层级,发现更多的隐藏目录。
ffuf安装与使用教程
weixin_50464560的博客
12-02 3094
ffuf的安装 go环境安装 需要在kali linux下安装go环境 下载安装包 wget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gzwget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gzwget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gz 进行解压缩 tar -...
ffuf:Go语言编写的高速Web Fuzzer
systemino的博客
05-25 1726
ffuf是一款Go语言编写的高速Web Fuzzer工具,该项目深受大型项目gobuster和wfuzz的启发。 特性 一个字,快! 允许fuzz HTTP header值,POST数据和URL的不同部分,包括GET数名称和值; 支持静默模式(-s); 模块化架构; 易于添加的过滤器和匹配器。 安装 从releases页面下载预构建的二进制文件,解压缩并运行。 如果你已经安装了编...
Ffuf爆破神器(超详细)
LainWith的博客
12-26 1万+
基于Go语言开发,速度极快,并且跨平台可以颜色高亮输出强大的过滤系统和代理系统能适应多种情景下的模糊测试广受好评,持续更新不能够完整打印出爆破出来的URI路径。user-agent特征明显,不能随机user-agent。
渗透测试web目录扫描dirb dirbuster ffuf 扫描原理和使用场景
nihao_ma_的博客
06-20 1383
Dirb、DirBuster和FFUF在扫描原理和使用场景上有所不同。
大力出奇迹之js文件爆破
MachineGunJoe666
04-28 779
当我们遇到一个登录框或者统一授权登陆(SSO)的时候,一顿瞎操作,sql注入不成功,账户密码爆破不出来,源代码找不到,端口扫描没有结果。此时总是苦于不知道该如何进一步做渗透测试和漏洞挖掘。笔者遇到一个有趣的现象,就是登陆后才可以看得见的js文件是可以未授权访问的。 0X02 初步探测 利用扫描工具探测存在的路径。 • 目录存在会返回403: • 目录不存在则返回404: 经过递归爆破以后发现了个有趣的路径: /routes/admin/ 0X03 js文件爆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时昕海Minerva

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值